Upload
vanhanh
View
215
Download
0
Embed Size (px)
Citation preview
1.1 Inhalt
1 Wegweiser
1.1 Inhalt
1.2 Stichwortverzeichnis
1.3 Verzeichnis – Mustervordrucke
1.4 Autorenverzeichnis
2 Aktuelle Hinweise
2.1 Novellierung des Bundesdatenschutzgesetzes (BDSG)
2.1.1 BDSG-Novelle I
2.1.2 BDSG-Novelle II
2.1.3 BDSG-Novelle III
2.1.4 Checkliste zur Novellierung des Bundesdatenschutzgesetzes (BDSG)
2.1.5 Bericht über die Auswirkungen der §§ 30a und 42a des Bundes-
datenschutzgesetzes
2.1.6 Bericht der Bundesregierung über die Auswirkungen der Änderun-
gen der §§ 28 und 29 des BDSG
2.2 Abmahnung von Datenschutzverstößen durch Verbände
2.3 Anforderungen an E-Mail-Diensteanbieter für einen sicheren
Transport von E-Mails
2.4 Positionspapier zu DS-GVO und Gesundheitswesen
2.5 Information des HmbBfDI zu den Einwilligungslösungen von
2.6 Bericht des Bayerischen Landesbeauftragten für den Datenschutz
bezüglich der Beseitigung aufgefundener Mängel beim Outsourcing
2.7 Datenaustausch zwischen stationären und ambulanten Leistungs-
erbringern
2.8 Errichtung einer Stiftung
2.8.1 Grobkonzept zur Errichtung einer Stiftung Datenschutz
2.9 Orientierungshilfe zu Inhalten und Anforderungen an branchen-
spezifischen Sicherheitsstandards gemäß § 8a Abs. 2 BSIG
2.10 Ansichten des EuGH-Generalanwalts zur Vorratsdatenspeicherung
2.11 eIDAS-Verordnung über elektronische Identifizierung und
Vertrauensdienste
2.12 BSI-Bericht zur IT-Sicherheit 2015
Inhalt 1.1 Seite 1
02/17
2.13 Orientierungshilfe zur datenschutzrechtlichen Einwilligungs-
erklärung in Formularen
2.14 Patientenrechte müssen umfassend gestärkt werden
2.15 Broschüre „Datenschutz im Krankenhaus“ des Bayerischen
Landesbeauftragten für den Datenschutz
2.16 Entschließung der Datenschutzbeauftragten zur Pseudonymisie-
rung von Krebsregisterdaten
2.17 Entschließung der Datenschutzbeauftragten zur Stärkung des
Datenschutzes im Sozial- und Gesundheitswesen
2.18 Die ärztliche Schweigepflicht im Internet
2.19 Gesetz zur Verbesserung der Rechte von Patientinnen und
Patienten
2.20 Empfehlung der Datenschützer zur Anwendung der neuen generi-
schen Datenschutzkonzepte der TMF
2.21 BSI veröffentlicht Technische Richtlinie „Ersetzendes Scannen“
2.22 Gemäß Information aus dem Bundesministerium des Innern soll
das BfDI-Amt eine eigenständige oberste Bundesbehörde werden
2.23 Informationen zu dem Rentenentwurf eines Gesetzes zur Erhöhung
der Sicherheit informationstechnischer Systeme (sog. „IT-Sicher-
heitsgesetz“)
2.24 Patienten wollen Zugang zu ihren Gesundheitsdaten
2.25 Datenschutzinitiative in Arztpraxen
2.26 Entwurf eines Zweiten Gesetzes zur Änderung des Telemedien-
gesetzes
2.27 Aktionsplan zur Verbesserung der Arzneimitteltherapiesicherheit
2.28 Technische Richtlinie TR-02102: Krypto-Richtlinien
2.29 Untersuchung der Zeitschrift „test“ zur Einhaltung der Schweige-
pflicht in Arztpraxen
2.29.1 Untersuchung zum Recht auf Einblick in die Patientenakten
2.29.2 Untersuchung zum Recht auf Erteilung einer Patientenquittung
3 Einführung in den Datenschutz
3.1 Kurze Historie – Entwicklung und Tendenzen
3.2 Grundlagen des Datenschutzrechts
4 Gesetzliche Regelungen mit Erläuterungen
4.1 Datenschutz international
4.1.1 EU-Vorgaben
4.1.1.1 EG-Datenschutzrichtlinie
1.1 Seite 2 Inhalt
02/17
4.1.1.2 Art. 29-Datenschutzgruppe
4.1.1.2.1 Veröffentlichungen der Art. 29-Datenschutzgruppe
4.1.1.4 EG-Vorgaben für Datenschutz bei Datenverarbeitung in Dritt-
ländern
4.1.2 Datenschutzvorgaben in Drittländern
4.1.3 USA Safe Harbor
4.2 Bundesdatenschutzgesetz
4.2.1 Gesetzeserläuterungen
4.2.1.1 § 1 BDSG: Zweck und Anwendungsbereich des Gesetzes
4.2.1.2 § 2 BDSG: Öffentliche und nicht-öffentliche Stellen
4.2.1.3 § 3 BDSG: Weitere Begriffsbestimmungen
4.2.1.3.1 § 3a BDSG: Datenvermeidung und Datensparsamkeit
4.2.1.4 § 4 BDSG: Zulässigkeit der Datenerhebung, -verarbeitung und
-nutzung
4.2.1.4.1 § 4a BDSG: Einwilligung
4.2.1.4.2 § 4b BDSG: Übermittlung personenbezogener Daten ins Ausland
sowie an über- oder zwischenstaatliche Stellen
4.2.1.4.3 § 4c BDSG: Ausnahmen
4.2.1.4.4 § 4d BDSG: Meldepflicht
4.2.1.4.5 § 4e BDSG: Inhalt der Meldepflicht
4.2.1.4.6 § 4f BDSG: Beauftrager für den Datenschutz
4.2.1.4.7 § 4g BDSG: Aufgaben des Beauftragten für den Datenschutz
4.2.1.5 § 5 BDSG: Datengeheimnis
4.2.1.6 § 6 BDSG: Rechte des Betroffenen
4.2.1.6.1 § 6a BDSG: Automatisierte Einzelentscheidung
4.2.1.6.2 § 6b BDSG: Beobachtung öffentlich zugänglicher Räume mit
optisch-elektronischen Einrichtungen
4.2.1.6.3 § 6c BDSG: Mobile personenbezogene Speicher- und Verarbei-
tungsmedien
4.2.1.7 § 7 BDSG: Schadensersatz
4.2.1.8 § 8 BDSG: Schadensersatz bei automatisierter Datenverarbeitung
durch öffentliche Stellen
4.2.1.9 § 9 BDSG: Technische und organisatorische Maßnahmen
4.2.1.9.1 § 9a BDSG: Datenschutzaudit
4.2.1.10 § 10 BDSG: Einrichtung automatisierter Abrufverfahren
4.2.1.11 § 11 BDSG: Erhebung, Verarbeitung oder Nutzung personen-
bezogener Daten im Auftrag
4.2.1.12 §§ 12 bis 26 BDSG: Zweiter Abschnitt, Datenverarbeitung der
öffentlichen Stellen
Inhalt 1.1 Seite 3
02/17
4.2.1.28 § 28 BDSG: Datenerhebung und -speicherung für eigene Geschäfts-
zwecke
4.2.1.28.1 § 28a BDSG: Datenübermittlung an Auskunfteien
4.2.1.28.2 § 28b BDSG: Scoring
4.2.1.29 § 29 BDSG: Geschäftsmäßige Datenerhebung und -speicherung
zum Zwecke der Übermittlung
4.2.1.30 § 30 BDSG: Geschäftsmäßige Datenerhebung und -speicherung
zum Zwecke der Übermittlung in anonymisierter Form
4.2.1.30.1 § 30a BDSG: Geschäftsmäßige Datenerhebung und -speicherung
für Zwecke der Markt- und Meinungsforschung
4.2.1.31 § 31 BDSG: Besondere Zweckbindung
4.2.1.32 § 32 BDSG: Datenerhebung, -verarbeitung und -nutzung für
Zwecke des Beschäftigungsverhältnisses
4.2.1.33 § 33 BDSG: Benachrichtigung des Betroffenen
4.2.1.34 § 34 BDSG: Auskunft an den Betroffenen
4.2.1.35 § 35 BDSG: Berichtigung, Löschung und Sperrung von Daten
4.2.1.38 § 38 BDSG: Aufsichtsbehörde
4.2.1.38.1 § 38a BDSG: Verhaltensregeln zur Förderung der Durchführung
datenschutzrechtlicher Regelungen
4.2.1.39 § 39 BDSG: Vierter Abschnitt: Sondervorschriften Zweckbindung
bei personenbezogenen Daten, die einem Berufs- oder besonderen
Amtsgeheimnis unterliegen
4.2.1.40 § 40 BDSG: Verarbeitung und Nutzung personenbezogener Daten
durch Forschungseinrichtungen
4.2.1.41 § 41 BDSG: Erhebung, Verarbeitung und Nutzung personen-
bezogener Daten durch die Medien
4.2.1.42 § 42 BDSG: Datenschutzbeauftragter der Deutschen Welle
4.2.1.42.1 § 42a BDSG: Informationspflicht bei unrechtmäßiger Kenntnis-
erlangung von Daten
4.2.1.43 § 43 BDSG: Fünfter Abschnitt mit den Schlussvorschriften Bußgeld-
vorschriften
4.2.1.44 § 44 BDSG: Strafvorschriften
4.2.1.45 § 45 BDSG: Sechster Abschnitt: Übergangsvorschriften Laufende
Verwendungen
4.2.1.46 § 46 BDSG: Weitergeltung von Begriffsbestimmungen
4.2.1.47 § 47 BDSG: Übergangsregelung
4.2.1.48 § 48 BDSG: Bericht der Bundesregierung
4.3 Landesdatenschutzgesetze
4.4 Telekommunikationsgesetz (TKG)
4.4.1 Allgemeine Erläuterungen zum TKG
1.1 Seite 4 Inhalt
02/17
4.4.2 Teil 1: Allgemeine Vorschriften
4.4.2.1 Wichtige Begriffsbestimmungen
4.4.3 Teil 7: Fernmeldegeheimnis, Datenschutz, Öffentliche Sicherheit
4.5 Telemediengesetz (TMG)
4.5.1 Allgemeine Erläuterungen zum TMG
4.5.2 Allgemeine Bestimmungen
4.5.3 Informationspflichten (Anbieterkennzeichnung)
4.5.4 Verantwortlichkeit
4.5.5 Datenschutzbestimmungen
4.5.6 Hinweise zur Erstellung einer Online-Datenschutzerklärung
4.5.7 Erstellung eines Muster-Impressums
4.5.8 Schulungsunterlagen zu Datenschutzaspekte des Telemedien-
gesetzes
4.5.9 Elektronische Gästebücher und Internet-Foren
4.6 De-Mail-Gesetz
4.6.1 Allgemeine Erläuterungen zum Gesetz zum sicheren E-Mail-
Verkehr (De-Mail-Gesetz)
4.6.2 Nähere Erläuterungen zu den einzelnen Paragrafen
4.7 Signaturgesetz (SigG)
4.7.1 Allgemeines zum Signaturgesetz (SigG)
4.8 Erläuterungen zum Signaturgesetz (SigG)
4.9 IT-Sicherheitsgesetz
4.9.1 Gesetzesbestandteile im Einzelnen
4.10 Gesetz für sichere digitale Kommunikation und Anwendungen im
Gesundheitswesen (E-Health-Gesetz)
4.10.1 Erläuterungen der wichtigsten Bestimmungen des Gesetzes
4.11 Datenschutz-Grundverordnung (DS-GVO)
4.11.1 Datenschutz-Grundverordnung in Kraft getreten
4.11.2 Wesentliche Neuerungen
4.11.2.1 Neue Regelungen zur Auftrags(daten)verarbeitung
4.11.2.2 Datenschutz-Folgenabschätzung
4.11.3 Auswirkungen auf Deutschland
4.11.4 Öffnungsklauseln
5 Technisch-organisatorische Umsetzung der gesetzlichen
Vorgaben
5.1 Grundlegende technisch-organisatorische Maßnahmen
5.1.1 Verantwortliche Stelle
5.1.2 Betrieblicher Datenschutzbeauftragter
Inhalt 1.1 Seite 5
02/17
5.1.2.1 Musterformular: Bestellung zum betrieblichen Datenschutz-
beauftragten
5.1.2.2 Merkblatt zur Bestellung eines betrieblichen Datenschutz-
beauftragten
5.1.2.3 Musterformular: Bestellung eines externen Datenschutz-
beauftragten
5.1.2.4 Merkblatt zur Bestellung eines externen Datenschutzbeauftragten
5.1.2.5 Schulungsunterlagen zum betrieblichen Datenschutzbeauftragten
5.1.2.6 Musterformular: Bestellung zum Stellvertreter des betrieblichen
Datenschutzbeauftragten
5.1.2.7 Einzelprobleme
5.1.3 Verpflichtung auf das Datengeheimnis
5.1.3.1 Muster einer Verpflichtungserklärung
5.1.3.1.1 Muster einer Verpflichtungserklärung im Rahmen einer Auftrags-
datenverarbeitung
5.1.3.1.2 Muster einer Geheimhaltungsvereinbarung
5.1.3.2 Datenschutzmerkblatt zur Verpflichtungserklärung
5.1.3.3 Verpflichtung nach dem Verpflichtungsgesetz
5.1.4 Vorabkontrolle
5.1.4.1 Checkliste zur Durchführung einer Vorabkontrolle
5.1.4.2 Musterdokumentation für eine Vorabkontrolle
5.1.5 Führen eines Verfahrensverzeichnisses
5.1.5.1 Musterformblatt zur Verfahrensbeschreibung
5.1.5.2 Musterverfahrensbeschreibung
5.1.5.3 Muster eines Schreibens zur Auskunftserteilung
5.1.5.4 Schulungsunterlagen zum Verfahrensverzeichnis
5.1.5.5 Checkliste zum Verfahrensverzeichnis
5.1.5.6 Fragen zum Verfahrensverzeichnis
5.1.6 Datensicherheitsmaßnahmen gemäß § 9 BDSG mit Anlage
5.1.6.1 Erstellung eines Schutzstufenkonzeptes
5.1.6.2 Strategie bei der Auswahl geeigneter Sicherheitsmaßnahmen
5.1.6.2.1 Checkliste zur Auswahl geeigneter Sicherheitsmaßnahmen
5.1.6.3 Beispiel eines Maßnahmenkatalogs
5.1.6.3.1 Checkliste Zutrittskontrolle
5.1.6.3.2 Checkliste Zugangskontrolle
5.1.6.3.3 Checkliste zur Gebäude- und Einbruchsicherheit
5.1.6.3.4 Checkliste Zugriffskontrolle
5.1.6.4 Schulungsunterlagen zu „Datensicherheitsmaßnahmen
i. S. d. § 9 BDSG mit Anlage“
1.1 Seite 6 Inhalt
02/17
5.1.6.5 Gesetzlich vorgeschriebene technisch-organisatorische Daten-
sicherheitsmaßnahmen
5.1.7 Durchführung von Datenschutzschulungen
5.1.7.1 Einladungsschreiben für eine Datenschutzschulung
5.1.7.2 Muster einer Teilnahmebescheinigung
5.1.8 Durchführung des Meldeverfahrens
5.1.8.1 Musterformular zum Meldeverfahren
5.1.9 Überwachung der ordnungsgemäßen Anwendung der Daten-
verarbeitungsprogramme
5.1.9.1 Prüfungsgerüst für die Kontrolle der Datensicherheitsmaßnahmen
5.1.10 Erstellung eines Tätigkeitsberichts
5.1.11 Mitwirkung bei der Personalauswahl
5.1.12 Bestellung eines IT-Sicherheitsbeauftragten
5.1.12.1 Muster eines Dienstleistungsvertrages für die Bestellung eines
IT-Sicherheitsbeauftragten
5.2 Datenschutz für Arbeitnehmerdaten
5.2.1 Datenschutz bei Zeiterfassungsdaten
5.2.1.1 Biometrische Zeiterfassungssysteme
5.2.1.2 Checkliste Zeiterfassungsdaten
5.2.1.3 Muster einer Betriebsvereinbarung für die automatisierte Erhe-
bung, Verarbeitung und Nutzung von Zeiterfassungsdaten
5.2.1.3.1 Muster-Betriebsvereinbarung Zutritts- und Zeiterfassungssystem
5.2.1.4 Einzelprobleme
5.2.2 Gesundheitsdaten
5.2.2.1 Betriebsarzt
5.3 Betriebsrat und Datenschutz – Verhältnis zum betrieblichen Daten-
schutzbeauftragten
5.3.1 Muster für eine Betriebsvereinbarung Internet/E-Mail
5.3.1.1 Internetbenutzerrichtlinie
5.3.1.2 Merkblatt zur E-Mail-Nutzung
5.3.1.3 Muster einer Betriebsvereinbarung für die private Nutzung des
Internets
5.3.1.4 Muster einer Einwilligungserklärung
5.3.2 Muster für eine Betriebsvereinbarung Personaldaten
5.3.3 Muster für eine Betriebsvereinbarung über die Einführung und den
Betrieb eines DV-gestützten Betriebserfassungssystems
5.3.4 Muster für eine Gesamtbetriebsvereinbarung zur Einführung eines
Personalverwaltungssystems für alle Mitarbeiterinnen und Mit-
arbeiter
Inhalt 1.1 Seite 7
02/17
5.3.5 Muster für eine Betriebsvereinbarung zum Einsatz von Videoüber-
wachungstechnik für das Werksgelände
5.3.5.1 Muster einer Betriebsvereinbarung zur Videoüberwachung
5.3.6 Muster für eine Betriebsvereinbarung zur Telefonanlage
5.3.6.1 Muster einer Betriebsvereinbarung über die VoIP-Nutzung
5.3.7 Muster einer Betriebsvereinbarung über die Gewährleistung der
Zugriffskontrolle
5.3.8 Muster für eine Betriebsvereinbarung zum Beschäftigten-Daten-
schutz und zur Nutzung von Informations- und Kommunikations-
technologien
5.3.8.1 Betriebsanweisung zur Gewährleistung des Datenschutzes und der
Datensicherheit
5.3.9 Betriebsvereinbarung zur Fernwartung und Fernsteuerung durch
eigene Mitarbeiter
5.3.10 Betriebs-/Dienstvereinbarung über die Protokollierung bei der
automatisierten Verarbeitung personenbezogener Daten
5.4 Sicherheit am Arbeitsplatz
5.4.1 Gewährleistung des Persönlichkeitsschutzes
5.4.1.1 Datenschutz in Großraumbüros
5.4.1.1.1 Checkliste zur datenschutzgerechten Gestaltung von Großraum-
büros
5.4.1.2 Checkliste zum Persönlichkeitsschutz – allgemein
5.4.1.3 Einzelprobleme
5.4.2 Allgemeine Sicherheitsmaßnahmen beim Einsatz von IuK-Geräten
am Arbeitsplatz
5.4.2.1 IuK-Sicherheitsbelehrung
5.4.2.2 Orientierungshilfe zur Passwortvergabe, Passwortwahl und Pass-
wortverwaltung
5.4.2.2.1 Checkliste zur Passwortvergabe, Passwortwahl und Passwort-
verwaltung
5.4.2.3 Orientierungshilfe zur Protokollierung
5.4.2.4 Checkliste für eine datenschutzgerechte Protokollierung
5.4.2.5 Schulungsunterlagen zur Protokollierung
5.4.2.6 Checkliste zur Erstellung eines Berechtigungskonzeptes
5.4.2.7 Betriebsanweisung zur Gewährleistung des Datenschutzes beim
Einsatz von IuK-Technik
5.4.2.8 Einzelprobleme
5.4.2.9 Einsatz von Mediaplayern
5.4.3 PC-Sicherheit
5.4.3.1 Checkliste für die Gestaltung von Arbeitsplatzrechnern (PC)
1.1 Seite 8 Inhalt
02/17
5.4.3.2 Checkliste für den sicheren PC-Einsatz (im Stand-alone-Betrieb)
5.4.3.3 Benutzerleitfaden für den Schutz von Computern und Informatio-
nen auf Computersystemen
5.4.4 Datenschutz und Datensicherheit bei mobilen IuK-Geräten
5.4.4.1 Checkliste zur Gewährleistung des Datenschutzes und der Daten-
sicherheit bei mobilen IuK-Geräten
5.4.4.2 Datensicherheit bei USB-Geräten
5.4.4.2.1 Checkliste zum datenschutzgerechten Einsatz von USB-Geräten
5.4.4.3 Einsatz von Smartphones und Tablet-PCs
5.4.4.3.1 Checkliste für den sicheren Einsatz von Smartphones und Tablet-
PCs
5.4.4.3.2 Sicherheitsmaßnahmen für iOS-Geräte
5.4.4.3.3 Schutz von BlackBerrys
5.4.4.3.4 Überblickspapier des BSI zu Smartphones
5.4.4.3.5 Mustervereinbarung bezüglich der Nutzung privater mobiler
Geräte
5.4.5 Datenschutzrechtliche Aspekte beim Einsatz optischer Speicher-
medien
5.4.6 Datenschutzgerechter Einsatz von Outlook
5.4.6.1 Schulungsunterlagen zu Outlook
5.4.6.2 Einzelprobleme
5.4.7 Schutz- und Sicherheitsmaßnahmen für Multifunktionsgeräte
5.4.7.1 Checkliste für den sicheren Einsatz von Multifunktionsgeräten
5.4.8 Applikationen (Apps)
5.4.8.1 Checkliste zu Apps
5.5 Sicherheit im Netzwerk
5.5.1 Sicherheitsmaßnahmen bei lokalen Netzwerken
5.5.1.1 Checkliste zur Überprüfung der Datensicherheit in einem lokalen
Netzwerk
5.5.1.2 Checkliste zur Überprüfung der baulichen und organisatorischen
Sicherheit
5.5.1.3 Checkliste zum Einsatz von Fernsteuerungsprogrammen
5.5.2 Sicherheit im Wireless Local Area Network (WLAN)
5.5.2.1 Orientierungshilfe Datenschutz in drahtlosen Netzen
5.5.2.2 Checkliste zum WLAN
5.5.3 Sicherheit im Intranet
5.5.3.1 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im
Intranet
5.5.4 Sicherheit im Internet
5.5.4.1 Grundlagen der E-Mail-Sicherheit
Inhalt 1.1 Seite 9
02/17
5.5.4.1.1 Orientierungshilfe zur datenschutzgerechten Nutzung von E-Mail
und anderen Internetdiensten am Arbeitsplatz
5.5.4.1.2 Nutzung von Web-Mail-Diensten
5.5.4.1.3 Überwachung der elektronischen Kommunikation von
Beschäftigten
5.5.4.1.4 Checkliste zur E-Mail-Sicherheit
5.5.4.1.5 Archivierung von E-Mails
5.5.4.2 Checkliste für die Anschaffung, die Installation und den Betrieb
einer Firewall
5.5.4.2.1 Betriebsanweisung für die Einrichtung und den Betrieb von Fire-
wall-Systemen
5.5.4.3 Datenschutz bei Suchmaschinen
5.5.4.4 Veröffentlichungen von personenbezogenen Daten im Internet und
Intranet
5.5.4.4.1 Muster einer Einwilligung für Mitarbeiter
5.5.4.4.2 Checkliste zur Veröffentlichung von Mitarbeiterdaten
5.5.5 Absicherung von Rechenzentren und Serverräumen
5.5.5.1 Checkliste bezüglich der erforderlichen Sicherheitsmaßnahmen in
einem Rechenzentrum bzw. Serverraum
5.5.5.2 Fragenkatalog zur Erkennung und Beseitigung von Mängeln und
Schwachstellen
5.5.5.3 Schulungsunterlagen zum Schutz von Rechnerräumen und Servern
5.5.6 Einrichtung eines Benutzerservices
5.5.6.1 Checkliste zum Benutzerservice
5.5.7 Sicheres Datenträgerarchiv
5.5.7.1 Checkliste für ein sicheres Datenträgerarchiv
5.5.8 Einzelprobleme
5.6 Spezielle Anwendungen
5.6.1 Dokumentenmanagementsysteme
5.6.1.1 Schulungsunterlagen zum Datenschutz bei Dokumentenmanage-
mentsystemen
5.7 Datenschutz bei Telekommunikationseinrichtungen und -anlagen
5.7.1 Checkliste bezüglich des Sicherheitsstatus einer Telekommunikati-
onsanlage
5.7.1.1 Checkliste bezüglicher allgemeiner Datenschutzabnforderungen an
Telekommunikationseinrichtungen und -anlagen
5.7.1.2 Checkliste für hybride TK-Anlagen
5.7.2 Sicherheitsmaßnahmen beim Telefax
5.7.2.1 Checkliste bezüglich der Sicherheitsmaßnahmen beim Telefax
1.1 Seite 10 Inhalt
02/17
5.7.3 Voice over IP (VoIP)
5.7.3.1 Checkliste zu Voice over IP
5.7.4 Einzelprobleme
5.8 Gewährleistung der Rechte des Betroffenen
5.8.1 Einzelprobleme
6 Spezielle Bereiche
6.1 Auftragsdatenverarbeitung
6.1.1 Formen der Auftragsdatenverarbeitung
6.1.1.1 Vernichtung von Datenträgern
6.1.1.2 (Fern-)Wartung
6.1.1.3 Outsourcing
6.1.1.4 Managed Desktop Services
6.1.2 Verantwortlichkeiten
6.1.3 Auswahlkriterien und Vertragsgestaltung
6.1.4 Überprüfung der Einhaltung der Regelungen
6.1.5 Abgrenzung zwischen Auftragsdatenverarbeitung und Funktions-
übertragung
6.1.6 Vergabe einer Auftragsdatenverarbeitung ins Ausland
6.1.7 Orientierungshilfe „Wartung, Fernwartung und Fernsteuerung“
6.1.8 Mustervertrag zur Auftragsdatenverarbeitung
6.1.8.1 Mustervertrag zur Fernwartung
6.1.8.2 Mustervertrag zu IT-Dienstleistungen
6.1.8.3 Datenschutz-Vereinbarung bei gegenseitigen Beauftragungen
6.1.8.4 Mustervertrag über die Vernichtung von Datenträgern
6.1.8.5 Mustervertrag zur Auftragsdatenverarbeitung bei Backup-
Leistungen
6.1.8.6 Mustervertrag zur Nutzung eines Rechenzentrums im Rahmen
einer Auftragsdatenverarbeitung
6.1.8.7 Mustervertrag zur Gestaltung des Internet-Auftritts
6.1.8.8 Mustervertrag zur Erstellung von Reisekostenabrechnungen
6.1.8.9 Mustervertrag zur Realisierung eines Live Streamings
6.1.9 Checkliste bezüglich des Datenschutzes und der Datensicherheit im
Rahmen einer Auftragsdatenverarbeitung
6.1.10 Schulungsunterlagen zur „Auftragsdatenverarbeitung aus Sicht des
Datenschutzes“
6.1.11 Schulungsunterlagen zur „Wartung und Fernwartung“
6.1.12 Dokumentation der Kontrolle der Datensicherheitsmaßnahmen
6.1.13 Einzelfragen
Inhalt 1.1 Seite 11
02/17
6.2 Datenschutzgerechte Entsorgung von Datenträgern
6.2.1 Formen der Datenträgerentsorgung
6.2.2 Verfahrensanweisung zur Datenträgervernichtung
6.2.3 Checkliste zur Datenträgervernichtung allgemein
6.2.3.1 Checkliste zur Datenträgervernichtung in Eigenregie
6.2.3.2 Checkliste zur Vernichtung von Datenträgern in Form einer
Auftragsdatenverarbeitung
6.3 Bekämpfung von Schadenssoftware (Malware)
6.3.1 Computerviren
6.3.1.1 Virengeschichte
6.3.1.2 Virenarten
6.3.1.3 Verbreitungswege
6.3.1.4 Abwehr- und Vorbeugemaßnahmen
6.3.1.5 Gegenmaßnahmen nach einem Virenbefall
6.3.1.6 Anforderungen an Antivirenprogramme
6.3.1.7 Virendokumentation
6.3.1.8 Checkliste zum Virenschutz
6.3.1.9 Schulungsunterlagen zu Computerviren
6.3.2 Spam
6.3.2.1 Funktionsweise und Verbreitungswege von Spam-Mails
6.3.2.2 Relevante technisch-organisatorische Sicherheitsmaßnahmen
6.3.2.3 Rechtliche Fragen und datenschutzrechtliche Problematik
6.3.2.4 Empfohlene Schutzmaßnahmen (Lösungsansätze)
6.3.2.5 Schulungsunterlagen zur Spam-Behandlung
6.3.3 Phishing
6.3.3.1 Ziel, Funktionsweise, Verbreitungswege und Erkennungsmerkmale
von Phishing-Angriffen
6.3.3.2 Technisch-organisatorische Sicherheitsmaßnahmen
6.3.4 Pharming
6.3.4.1 Checkliste zum Schutz vor Pharming-Angriffen
6.3.5 Spyware
6.3.5.1 Checkliste zum Schutz vor Spyware
6.3.6 Botnetze
6.3.6.1 Checkliste zu Botnetzen
6.3.7 Scareware
6.3.7.1 Checkliste zum Schutz vor Scareware
6.3.8 Backdoor-Programme
6.3.8.1 Checkliste zum Schutz vor Backdoor-Programmen
6.4 Whistleblowing
6.4.1 Rechtsgrundlagen
1.1 Seite 12 Inhalt
02/17
6.4.2 Datenschutzgerechte Gestaltung eines Whistleblowing-Verfahren
6.5 Data Warehouse und Data Mining
6.6 Soziale Netzwerke
6.6.1 Orientierungshilfe „Soziale Netzwerke“
6.7 Cloud Computing
7 Datenschutzaufsichtsbehörden
7.1 Datenschutzaufsichtsbehörden
7.2 Übersicht der Datenschutzaufsichtsbehörden für den nicht-öffent-
lichen Bereich
7.3 Aufgaben der Aufsichtsbehörden
7.3.1 Ablauf einer Prüfung
7.4 Rechte und Pflichten der Aufsichtsbehörden
7.5 Beschlüsse, Entschließungen und Empfehlungen der Aufsichts-
behörden
7.5.1 Entschließungen des Düsseldorfer Kreises
7.5.1.1 Prüfung der Selbst-Zertifizierung des Datenimporteurs nach dem
Safe Harbor-Abkommen durch das Daten exportierende Unter-
nehmen
7.5.1.2 Datenschutzkonforme Ausgestaltung von Analyseverfahren zur
Reichweitenmessung bei Internet-Angeboten
7.5.1.3 Datenschutzrechtliche Aspekte des Mitarbeiter-Screenings in inter-
national tätigen Unternehmen
7.5.1.4 Datenschutzrechtliche Bewertung von digitalen Straßenansichten
insbesondere im Internet
7.5.1.5 Datenschutzkonforme Gestaltung sozialer Netzwerke
7.5.1.6 Internet-Portale zur Bewertung von Einzelpersonen
7.5.1.7 Datenschutzkonforme Gestaltung der Entwicklung und Anwendung
von RFID-Technologie
7.5.1.8 Mindestanforderungen an Fachkunde und Unabhängigkeit des
Beauftragten für den Datenschutz
7.5.1.9 Umsetzung der Datenschutzrichtlinie für elektronische Kommuni-
kationsdienste
7.5.1.10 Datenschutzgerechte Smartphone-Nutzung ermöglichen
7.5.1.11 Datenschutzkonforme Gestaltung und Nutzung von Krankenhaus-
informationssystemen
7.5.1.12 Mindestanforderungen an den technischen Datenschutz bei der
Anbindung von Praxis-EDV-Systemen an medizinische Netze
7.5.1.13 Beschäftigtenscreening bei AEO-Zertifizierung wirksam begrenzen
7.5.1.14 Anonymes und pseudonymes elektronisches Bezahlen von Inter-
net-Angeboten ermöglichen
Inhalt 1.1 Seite 13
02/17
7.5.1.15 Datenschutz in sozialen Netzwerken
7.5.1.16 Einwilligungs- und Schweigepflichtentbindungserklärung in der
Versicherungswirtschaft
7.5.1.17 Near Field Communikation (NFC) bei Geldkarten
7.5.1.18 Videoüberwachung in und an Taxis
7.5.1.19 Anwendungshinweise zur Erhebung, Verarbeitung und Nutzung
von personenbezogenen Daten für werbliche Zwecke
7.5.1.20 Datenübermittlung in Drittstaaten
7.5.1.21 Modelle zur Vergabe von Prüfzertifikaten, die im Wege der Selbst-
regulierung entwickelt und durchgeführt werden
7.5.1.22 Orientierungshilfe „Videoüberwachung durch nicht-öffentliche
Stellen“
7.5.1.23 Orientierungshilfe „Videoüberwachung in öffentlichen Verkehrs-
mitteln“
7.5.2 Beschlüsse und Entschließungen der Datenschutzbeauftragten des
Bundes und der Länder
7.5.2.1 Entschließung der 70. DSK vom 27./28. Oktober 2005 zu VoIP
7.5.2.2 Entschließung der 72. DSK vom 26./27. Oktober 2006 zu RFID
7.5.2.3 Entschließung der 75. DSK vom 3./4. April 2008 zu VoIP
7.5.2.4 Entschließung der 76. DSK vom 6./7. November 2008 zu ELENA
7.5.2.5 Entschließungen der 79. DSK vom 17./18. März 2010
7.5.2.6 Entschließungen der 80. DSK vom 3./4. November 2010
7.5.2.7 Entschließungen der 81. DSK vom 16./17. März 2011
7.5.2.8 Entschließungen der 82. DSK vom 28./29. September 2011
7.5.2.9 Entschließungen der 83. DSK vom 21./22. März 2012
7.5.2.10 Entschließungen der 84. DSK vom 7./8. November 2012
7.5.2.11 Entschließungen der 85. DSK vom 13./14. März 2013
7.5.2.12 Entschließung vom 5. September 2013
7.5.2.13 Entschließungen der 86. DSK vom 1./2. November 2013
7.5.2.14 Entschließungen der 87. DSK vom 27./28. März 2014
7.5.2.15 Entschließungen der 88. DSK vom 8./9. Oktober 2014
7.5.2.16 Entschließung der DSK zur Verfolgung des Nutzerverhaltens im
Internet
7.5.2.17 Entschließungen der 89. DSK vom 18./19. März 2015
7.5.2.18 Entschließung der DSK zum Gesetzentwurf zur Vorratsspeicherung
7.5.2.19 Entschließungen der 90. DSK vom 30.09./01.10.2015
7.6 Standard-Datenschutzmodell
7.7 Internationale Zuständigkeit
1.1 Seite 14 Inhalt
02/17
8 Aktuelle Rechtsprechung
8.1 Recht auf informationelle Selbstbestimmung
8.2 Speicherung der IP-Adressen
8.3 Verfassungsmäßigkeit der Vorratsdatenspeicherung
8.4 Personalakte – Aufbewahrung von Gesundheitsdaten
8.5 Keine Auskunftspflicht eines Rechtsanwalts gegenüber Daten-
schutzbeauftragten
8.6 Schutz des Fernmeldegeheimnisses bei abgespeicherten E-Mails
8.7 Veröffentlichung von Gerichtsentscheidungen im Internet
8.8 Urteile zur Videoüberwachung
8.9 Beleidigende Inhalte in Internet-Blogs müssen überprüft werden
8.10 Bundesverfassungsgericht: TKG-Regelungen zur Datenspeicherung
teilweise verfassungswidrig
8.11 Fehlende Transparenz einer Einwilligungserklärung zur Telefon-
werbung
8.12 Bayerischer Verwaltungsgerichtshof: Automatisierte Kennzeichen-
erfassung zulässig
8.13 Personenbezug dynamischer IP-Adressen
8.14 Herausgabe handschriftlicher Therapieaufzeichnungen
8.15 Anspruch des Pflegeheimbewohners auf Einsicht in die Pflege-
unterlagen
8.16 Elektronische Gesundheitskarte verstößt weder gegen den Daten-
schutz noch gegen das Recht auf informationelle Selbstbestimmung
8.16.1 Rechtmäßigkeit der Einführung der elektronischen Gesundheits-
karte
8.17 Patientenfotos auf Facebook (k)ein Kündigungsgrund
8.18 Rechtmäßigkeit der Zeugnisverweigerung
8.19 Speicherung von Verkehrsdaten
8.20 Kündigung bei exzessiver privater Internetnutzung
8.21 Sonderkündigungsschutz für Datenschutzbeauftragte nur bei
schriftlicher Bestellung
8.22 Kein Mitbestimmungsrecht beim Anbringen einer Videokamera-
attrappe auf einem Klinikumgelände
8.23 Vernichtung von Personal- und Patientenakten eines früheren
Krankenhauses
8.24 Einsicht des Arbeitgebers in einen elektronischen Kalender
8.25 Anwesenheitsrecht des Arbeitgebers bei der Befragung von sach-
kundigen Arbeitnehmern
8.26 Anspruch auf Herausgabe von Patientenunterlagen
Inhalt 1.1 Seite 15
02/17
8.27 Keine Kündigung eines Betriebsratsmitglieds wegen Kritik an
geplanten Kontrollen
8.28 Pflichten des Betreibers eines Ärztebewertungsportals
8.29 Abtretung von Honorarforderungen bei der Behandlung Minder-
jähriger an Abrechnungsstellen
9 Praktische Umsetzung im Gesundheitswesen
9.1 Allgemeine Hinweise zur Gewährleistung des Datenschutzes im
Gesundheitsbereich
9.1.1 Grundlegende gesetzliche Bestimmungen
9.1.2 Verpflichtung zur Dokumentation
9.1.3 Bestellung eines Datenschutzbeauftragten im Gesundheitsbereich
9.1.3.1 Musterformular: Bestellung zum Datenschutzbeauftragten im
Gesundheitsbereich
9.1.3.2 Merkblatt zur Bestellung eines Datenschutzbeauftragten im
Gesundheitsbereich
9.1.4 Wahrung des Persönlichkeitsrechts
9.1.5 Die elektronische Gesundheitskarte
9.1.6 Rechte der Betroffenen (Patienten)
9.1.7 Fernwartung
9.1.7.1 Schulungsunterlagen zur Fernwartung von Datenverarbeitungs-
systemen im Gesundheitsbereich
9.1.7.2 Fernwartung medizinischer Geräte mit Einschaltung von Subunter-
nehmern
9.1.8 Datenschutz in der medizinischen Forschung (Epidemiologie)
9.1.8.1 Rechtliche Rahmenbedingungen
9.1.8.2 Lösungsmöglichkeiten
9.1.8.3 Ausblick
9.1.8.4 Orientierungshilfe: Pseudonymisierung in der medizinischen
Forschung
9.1.8.5 Merkblatt zum Datenschutz bei medizinischen Studien mit
Patientendaten
9.1.8.6 Konsenspapier Epidemiologie und Datenschutz
9.1.8.7 Datenschutzrechtliche Aspekte beim Aufbau einer Bio(material)
bank
9.1.8.7.1 Beispiel Blutspenderdatenbank
9.1.9 Vernichtung von medizinischen Unterlagen
9.1.10 Schulungsunterlagen zum Datenschutz und zur Datensicherheit im
Gesundheitswesen
1.1 Seite 16 Inhalt
02/17
9.1.10.1 Schulungsunterlagen zur Auftragsdatenverarbeitung im Gesund-
heitswesen
9.1.11 Musterformulare
9.1.11.1 Entbindung von der ärztlichen Schweigepflicht
9.1.11.2 Verpflichtung auf das Datengeheimnis
9.1.11.2.1 Merkblatt zur Verpflichtungserklärung und Hinweis auf die ärzt-
liche Schweigepflicht
9.1.11.3 Anforderung von bzw. Einsicht in Patientenunterlagen
9.1.11.4 Mustervertrag zur Auftragsdatenverarbeitung im Gesundheits-
wesen
9.1.11.5 Patienteneinwilligung für die Übermittlung von Behandlungs-
unterlagen
9.1.12 Verfahrensverzeichnis und Verfahrensbeschreibung
9.1.13 Arztbewertungsportale im Internet
9.1.13.1 Datenschutzrechtliche Leitlinien
9.1.14 Leitfaden für die elektronische Archivierung von Kranken-
unterlagen
9.1.15 Nutzung externer Wäschereidienstleistungen in Krankenhäusern
und Pflegeeinrichtungen
9.1.16 Mammografie-Screening
9.1.17 Gesetzliche Regelung der Patientenverfügung
9.1.17.1 Regelungen im BGB
9.1.17.2 Änderung des Familienverfahrensgesetzes
9.1.18 Nutzung des E-Postbriefs
9.2 Datenschutz im Krankenhaus
9.2.1 Datenübermittlungen
9.2.1.1 Orientierungshilfe „Anbindung externer Partner an Kranken-
häuser, Zuweiser-/Einweiserportale, elektronische Fall-/Patienten-
akten“
9.2.2 Datenschutz und Datensicherheit bei Krankenhausinformations-
systemen (KIS)
9.2.2.1 Krankenhausinformationssysteme datenschutzgerecht gestalten
9.2.2.2 Orientierungshilfe bezüglich einer Zugriffs-, Sperr- und Lösch-
konzeption für Krankenhaus-EDV-Systeme
9.2.2.3 Risikoanalyse Krankenhaus-IT
9.2.2.4 Orientierungshilfe Krankenhausinformationssysteme (KIS)
9.2.3 Auftragsdatenverarbeitung
9.2.3.1 Outsourcing von DV-Aktivitäten
9.2.3.2 Erledigung von Schreibarbeiten
Inhalt 1.1 Seite 17
02/17
9.2.3.3 Mikroverfilmung bzw. Einscannen von Patientendaten durch einen
Privaten
9.2.3.4 Einschaltung eines Inkassounternehmens
9.2.3.5 Externe Archivierung von Krankenunterlagen
9.2.4 Datenschutzprobleme
9.2.5 Checkliste bezüglich der Gewährleistung des Datenschutzes und
der Datensicherheit in einem Krankenhaus
9.2.6 Betriebs-/Dienstanweisung zum Datenschutz in einem Kranken-
haus
9.2.7 Krankenhaus-Archivordnung
9.2.8 Schulungsunterlagen zur Datensicherheit im Krankenhaus
9.2.9 Videoüberwachung im Krankenhaus
9.3 Datenschutz in Arztpraxen
9.3.1 Datenübermittlungen
9.3.2 Datenschutz und Datensicherheit bei den eingesetzten IT-Systemen
9.3.2.1 Mindestanforderungen an den technischen Datenschutz bei der
Anbindung von Praxis-EDV-Systemen an medizinische Netze
9.3.3 Auftragsdatenverarbeitung (Outsourcing)
9.3.4 Datenschutzprobleme
9.3.5 Checkliste bezüglich der Gewährleistung des Datenschutzes und
der Datensicherheit in einer Arztpraxis
9.3.6 Schriftliche Anweisung zum Datenschutz
9.3.7 Archivordnung einer Arztpraxis
9.3.8 Sonderfall Betriebsarzt
9.3.9 Bauliche und organisatorische Maßnahmen
9.4 Datenschutz in Heimen
9.4.1 Grundlegende gesetzliche Bestimmungen
9.4.2 Verpflichtung zur Pflegedokumentation
9.4.3 Bestellung eines Datenschutzbeauftragten
9.4.4 Datenschutz und Datensicherheit bei den eingesetzten IT-Systemen
9.4.5 Verarbeitung personenbezogener Daten im Auftrag (Outsourcing)
9.4.5.1 Externe Vergabe von Schreibarbeiten
9.4.5.2 (Fern)Wartung von Rechnern
9.4.5.3 Weitere Formen der Auftragsdatenverarbeitung
9.4.5.4 Schulungsunterlagen zum Outsourcing in Heimen
9.4.6 Datenschutzprobleme
9.4.7 Checkliste bezüglich der Gewährleistung des Datenschutzes und
der Datensicherheit in Heimen
9.4.8 Betriebs-/Dienstanweisung zum Datenschutz in Heimen
1.1 Seite 18 Inhalt
02/17
9.4.9 Heim-Archivordnung
9.4.10 Mängelschwerpunkte im Rahmen von Datenschutzprüfungen durch
die Aufsichtsbehörden
9.4.11 Schulungsunterlagen zum Datenschutz und zur Datensicherheit in
Heimen
9.4.12 Verfahrensverzeichnis und Verfahrensbeschreibung
9.4.13 Benotung von Pflegeheimen und Veröffentlichung im Internet
9.5 Datenschutz in der Telemedizin
9.5.1 Rechtliche Voraussetzungen
9.5.2 Gewährleistung der Datensicherheit
9.5.3 Auslagerung der Datenverarbeitung
9.5.4 Anforderungen an Medizinnetze
9.6 Arzneimittelgesetz und zur Arzneimittelprüfung
9.6.1 Datenschutzrechtliche Aspekte im Rahmen einer Arzneimittel-
prüfung
9.6.2 Muster einer Einwilligungserklärung
9.6.2 Muster eines Merkblattes zur Abgabe einer Einwilligungserklärung
9.7 Gendiagnostikgesetz (GenDG)
9.7.1 Erläuterungen zum Gesetz über genetische Untersuchungen bei
Menschen (Gendiagnostikgesetz – GenDG)
9.7.2 Erläuterungen zu den wichtigsten Paragrafen des Gendiagnostik-
gesetzes
9.7.3 Datenschutzrechtliche Bewertung durch die Datenschutzbeauftrag-
ten des Bundes und der Länder
Inhalt 1.1 Seite 19
02/17